隨著矽谷銀行 (SVB) 倒閉的消息繼續佔據頭條新聞,網絡犯罪分子正在開展網絡釣魚活動,冒充 SVB 和其他金融機構,包括 M-F-A 和彭博社。
網絡犯罪分子對 24 小時新聞周期做出快速反應,旨在利用受害者對其財務狀況的潛在困擾,使他們更容易受到此類攻擊。
快速攻擊總結
向量和類型: 電子郵件網絡釣魚
技術: 品牌冒充;社會工程
有效載荷:用於竊取個人信息的惡意超鏈接,帶有嵌入式跟踪功能,可為攻擊者提供更多信息,包括哪些 IP 地址訪問了釣魚網站;和附件以竊取用於電匯欺詐的財務詳細信息
目標: 北美和英國的組織
平台: Microsoft 365
繞過安全電子郵件網關:是
網絡釣魚電子郵件使用高度程式化的 html 模板,以及從欺騙性、相似電子郵件域發送的純文本電子郵件.有效負載包括指向竊取受害者個人數據的網絡釣魚網站的超鏈接,以及用於收集電匯欺詐財務詳細信息的附件。
SVB 網絡釣魚電子郵件:冒充和電匯欺詐攻擊
我們看到的假冒 SVB 的攻擊是通過複製和編輯在其合法電子郵件中使用的標準 SVB html 創建的。這包括 SVB 徽標的高分辨率渲染、品牌顏色的使用,以及包含帶有其合法英國倫敦地址的原始 SVB 頁腳。這增加了攻擊的可信度,使受害者更有可能被欺騙。
SVB 客戶最初的一些擔憂集中在聯邦存款保險公司提供的每個現金存款賬戶 250,000 美元的保護限額上。下面的網絡釣魚電子郵件顯示,網絡犯罪分子通過向受害者提供遠遠超出原始限額(高達 1000 萬美元)的資金訪問權限來利用此信息。
除了利用對訪問資金的擔憂來操縱受害者,網絡犯罪分子還使用“2023 年 3 月 17 日,星期五”作為最後期限來增加對受害者的壓力。這是一種常見的社會工程策略,旨在迫使人們“快速思考”,使他們不太可能檢查自己所做的事情是否安全。
“發件人”地址冒充 SVB 的英國分部:’svbuk.com‘。在撰寫本文時,我們的研究人員認為這是一個相似的域,而不是合法 SVB 擁有的域,因為它未通過技術驗證。
當用戶單擊電子郵件中的鏈接時,他們被帶到一個冒充 SVB 的釣魚網站。
網絡釣魚電子郵件使用被盜的 html 模板和網絡釣魚鏈接有效載荷冒充 SVB
網絡釣魚鏈接有效載荷將受害者路由到創建於 2023 年 3 月 10 日(與 SVB 崩潰同一天)的名為“cash4svb”的網站域’,它聲稱從收件人那裡收集信息,以查看他們的帳戶是否有資格獲得增加的支出。
在這一點上,攻擊可能變得不那麼令人信服。我們的研究人員指出,相似的網站存在一些明顯的外觀問題,與合法網站相比不盡如人意。然而,使用包含“svb”的域和頁面頂部包含 SVB 的橫幅圖像,網絡犯罪分子預計焦慮和絕望將驅使受害者填寫這些字段。
此外,網絡犯罪分子使釣魚網站聲稱它屬於“總部位於加利福尼亞州斯坦福的私人投資集團”。這種說法可以通過兩種方式發揮作用:(1) 解釋為什麼該網站與 SVB 品牌沒有緊密結合,以及 (2) 增強信心,儘管 SVB 動盪不安,但仍會支付這筆錢。
我們的研究人員期待這些細節網絡犯罪分子可能會利用這些信息繼續直接攻擊 SVB(通過填寫表格,受害者正在為攻擊者創建 SVB 客戶列表),或者這些信息可能會在暗網上出售以供將來攻擊使用。
用於從 SVB 竊取個人信息的釣魚網站客戶:文本和表單的放大視圖
Bloomberg 網絡釣魚電子郵件:冒充導致電匯欺詐
除了冒充 SVB 的攻擊外,Egress Defend 還檢測到謹慎的社會工程攻擊,這些攻擊通知發件人的組織正在更改銀行帳戶和財務詳細信息需要更新的受害者。
在下面的示例中,網絡犯罪分子使用欺騙性的相似域來冒充 Bloomberg (‘@blomberg-us.com)。網絡釣魚電子郵件使用 SVB 新聞作為需要更改銀行詳細信息的合理藉口。.pdf 附件通過文件名“Bloomberg Updated Bank details”支持聲明。
與 SVB 冒充電子郵件類似,此攻擊也使用截止日期(“在三月份所需的發票之前”)來對受害者進行社交工程,使其迅速做出反應以避免後果。
附件包含備用銀行詳細信息,如果公司使用,將導致電匯欺詐。
網絡釣魚電子郵件冒充 Bloomberg
我們看到這些電子郵件發送自的域
如前所述,這些電子郵件是從冒充合法組織的欺騙性、相似域發送的。我們的研究人員發現的一些域是:
我們在這些網絡釣魚電子郵件中看到的鏈接
以下是一些欺騙性的,作為 SVB 模擬攻擊一部分的相似惡意超鏈接:
如上所述,一些攻擊使用基於附件的有效負載進行電匯欺詐。
出口分析
strong>
這些攻擊展示了網絡犯罪分子如何武器化 24 小時新聞周期。當組織或話題在新聞中流行時,現在幾乎不可避免地會看到一波網絡釣魚活動作為回應。上面分析的網絡釣魚網站創建於 2023 年 3 月 10 日,也就是 SVB 崩潰的同一天,展示了網絡犯罪分子利用熱門新聞創建和執行網絡釣魚活動的速度。
在此活動中,網絡犯罪分子利用受害者對財務安全和獲得資金的擔憂加劇,並利用銀行詳細信息和支付流程變化帶來的更廣泛的破壞。
網絡釣魚電子郵件包含社會工程策略,以提高其可信度並降低受害者的懷疑,例如使用合法的 SVB 電子郵件模板和欺騙域。此外,任意截止日期所產生的緊迫感會促使人們本能地做出反應,從而減少理性思考或與他人反复核實情況的時間。人們已經處於高度焦慮狀態,這些策略進一步操縱他們,以增加他們犯錯誤並成為攻擊受害者的可能性。
SVB 中釣魚網站抓取的信息假冒攻擊可能會向網絡犯罪分子提供精心策劃的 SVB 客戶列表,因為很可能只有受影響的公司和個人才會做出回應。此信息可用於在其他相關攻擊中重新定位受害者及其組織,或用於其他 SVB 活動,包括被其他網絡犯罪分子使用,如果該列表在暗網上出售,他們可以購買該列表。
最後,電匯欺詐攻擊可能會導致網絡犯罪分子快速發財,至少 3 月份的發票會被存入他們的賬戶,因為受害者試圖對其供應商不斷變化的情況做出反應。
建議為了遠離這些網絡釣魚攻擊
與任何熱門新聞故事一樣,需要讓人們意識到網絡犯罪分子正在使用 SVB 崩潰,並應建議謹慎對待任何更新,包括通過其他方式驗證消息(例如,通過搜索引擎或保存的瀏覽器鏈接訪問正確的網站,而不是點擊網絡釣魚電子郵件)。
組織還應該啟用多因素身份驗證作為防禦層保護
我們還建議組織投資高級網絡釣魚檢測解決方案,例如 Egress Defend,它提供針對高級網絡釣魚攻擊的智能檢測功能和實時教學時刻,以提高安全意識和幫助人們識別針對他們的實際威脅的培訓。
圖片來源: rarrarorro/depositphotos.com
Jack Chapman 是威脅情報副總裁,出口。